Investigadors de la Universitat Carlos III de Madrid (UC3M) i del Consell Superior d'Investigacions Científiques (CSIC) (Espanya) estan desenvolupant una eina que permet analitzar si els telèfons mòbils poden patir atacs cibernètics per obtenir les claus de xifrat a través de les seves emissions electromagnètiques.
Aquesta plataforma, te com a objectiu millorar la seguretat dels telèfons mòbils i altres dispositius electrònics que utilitzin tècniques de xifrat. Les investigacions s'han presentat recentment al Canadà en un congrés internacional centrat en la seguretat i privacitat de l'Internet de les Coses (Workshop on Security and Privacy on Internet of Things). Aquesta investigació se centra en els coneguts com "atacs de canal lateral", que ocorren quan "s'intenta aprofitar una circumstància (en aquest cas, que qualsevol corrent elèctric produeix un camp magnètic) per a un benefici il·lícit (en aquest cas, l'atacant intenta extreure la clau privada de xifrat, a la qual en teoria no hauria de tenir accés)", explica un dels investigadors, José María de Fuentes, del Computer Security Lab (COSEC) de la UC3M. Tradicionalment, s'intentava atacar l'algoritme de xifrat, és a dir, el procediment per protegir la informació, que normalment té una base matemàtica complexa. Amb posterioritat, s'han anat desenvolupant aquest tipus d'atacs de canal lateral per buscar altres formes de violar la seguretat sense haver de "trencar" la matemàtica que la sustenta. "Quan els dispositius estan en funcionament fan ús de l'energia i generen camps electromagnètics. Nosaltres intentem capturar les seves traces per obtenir d'aquí la clau de xifrat i, al seu torn, el desxifrat de les dades", explica una altra de les investigadores, Lorena González, també del grup COSEC de la UC3M.
"Volem posar de manifest si aquest tipus de dispositius tenen vulnerabilitats, perquè si són atacables per algun adversari, és a dir, si algú calcula la clau que estàs utilitzant en el teu telèfon mòbil, seràs vulnerable i les teves dades deixaran de ser privades", afirma un altre dels investigadors, Luis Hernández, de l'Institut de Tecnologies Físiques i de la Informació (ITEFI) del CSIC.
L'objectiu fonamental d'aquesta investigació és detectar i donar a conèixer quines són les vulnerabilitats que tenen els dispositius electrònics o els xips que contenen, de manera que tant els desenvolupadors de programari com de maquinari puguin implementar les contramesures oportunes per protegir la seguretat dels usuaris. "La nostra tasca a continuació serà verificar si això s'ha dut a terme correctament i intentar atacar de nou per comprovar si hi ha un altre tipus de vulnerabilitats", afegeix Luis Hernández.
El més rellevant d'aquest projecte, segons els investigadors, és que estan desenvolupant una arquitectura i un entorn de treball on seguir explorant aquest tipus d'atacs de canal lateral. De fet, hi ha la possibilitat d'extreure informació de xifrat a partir d'altres dades, com les variacions de temperatura del dispositiu, el consum de potència o el temps que triga un xip en processar un càlcul.
Aquesta investigació s'ha realitzat en el marc de CIBERDINE (CYBERSECURITY: Data, Information, Risks), un programa de R+D+I finançat per la Conselleria d'Educació, Cultura i Esport de la Comunitat de Madrid i per Fons Estructurals de la Unió Europea. El seu principal objectiu és desenvolupar eines tecnològiques que permetin aconseguir que el ciberespai sigui un entorn més segur i fiable per a les administracions públiques, els ciutadans i les empreses. Per a això, es treballa en tres grans línies d'investigació: l'anàlisi massiva de xarxes de dades, la ciberseguretat cooperativa i els sistemes d'ajuda per a la presa de decisions en aquesta àrea.
